研究人员发现,虽然大多数恶意电子邮件活动都会使用Word文档来隐藏和传播恶意软件,但在最近发现的一个攻击活动中攻击者使用了一个恶意的PDF文件和一个很多年前的Office漏洞来传播Snake Keylogger恶意软件。
据周五发表的一篇博客文章称,惠普 Wolf安全公司的研究人员发现了这一攻击活动,该活动使用了一个PDF附件文件来欺骗受害者,谎称文件内有关于汇款的信息。然而,它实际是加载了窃取信息的恶意软件,并且还使用了一些规避战术来避免被杀毒软件发现。
惠普的wolf安全团队研究员在这篇文章中写道,虽然现在Office格式仍然很流行,但这一攻击活动表明攻击者也在使用武器化的PDF文件来感染系统。
Schlapfer说,的确,在过去十年中,使用恶意电子邮件进行攻击的攻击者更喜欢将恶意软件打包成微软的Office文件格式,特别是Word和Excel。据研究人员称,仅在2022年第一季度,惠普的wolf安全公司所阻止的恶意软件中有近一半(45%)使用的是Office格式。
他写道,原因很明显,用户非常熟悉这些文件类型,有很多能够直接打开它们的应用程序,并且它们也非常适合用作社会工程学攻击的诱饵。
不过,研究人员还发现,虽然新的攻击活动确实在文件诱饵中使用了PDF文件,但它后来还是采用了微软的Word来触发最终的有效载荷--Snake Keylogger。据Fortinet称,Snake Keylogger是一种使用.NET开发的恶意软件,首次出现在2020年底,该软件可以从受害者的设备中窃取敏感信息,包括保存的凭证、受害者的击键内容、受害者的屏幕截图以及剪贴板内的数据。
不同寻常的攻击活动
HPW Wolf 安全团队在3月23日注意到了一个新的基于PDF的威胁攻击活动,它有一个 非常不寻常的感染链,不仅使用了一个PDF文件,还使用了几个逃避检测的技巧,如嵌入恶意文件,加载远程托管的漏洞以及shellcode加密。
攻击者针对受害者发送电子邮件,其中就包括了一个名为 "REMMITANCE INVOICE.pdf "的PDF文件作为附件。研究人员发现,如果有人打开该文件,Adobe Reader会提示用户打开一个名字非常古怪的.docx文件。
该帖子称,攻击者会偷偷地将Word文件命名为 " has been verified. However PDF, Jpeg, xlsx, .docx",这样会使文件名看起来像是Adobe Reader提示语中的一部分。
研究人员发现,.docx文件作为一个嵌入式文件对象存储在PDF中,如果用户点击它就会打开Microsoft Word。如果保护视图被禁用,Word会从网络服务器下载一个富文本格式(.rtf)的文件。这是一个Office Open XML文件,然后在打开的文件内运行。
研究人员通过解压缩.rtf的内容,发现了一个隐藏在 "document.xml.rels "文件中的URL,他们说,这不是Office文档中的合法域名。
一个古老的漏洞被利用
当用户连接到这个URL就会导致网页重定向,然后下载一个名为 "f_document_shp.doc "的RTF文档。该文件包含了两个格式错误的OLE对象,里面包含了利用CVE-2017-11882的shellcode,研究人员说这是一个很久以前的远程代码执行漏洞(RCE),该漏洞出现在方程编辑器中。
方程编辑器是Office套件默认安装的应用程序,用于在微软Word文档中为对象链接和嵌入(OLE)项目插入以及编辑复杂的方程式。
然而,事实证明,攻击者在活动中利用的漏洞实际上是微软在四年多前--确切地说,是2017年打了补丁,但实际上在那之前已经存在了约17年,该漏洞距现在已经有22年的历史了。
作为此次攻击最重要的部分,研究人员发现了存储在他们检查的一个OLENativeStream结构中的shellcode。研究人员发现,该代码最终会解密一个密码文本,而这个密码文本原来就包含真正的shellcode,在执行后会启动一个名为fresh.exe的可执行文件,并且该文件会加载Snake Keylogger。
本文翻译自:https://threatpost.com/snake-keylogger-pdfs/179703/如若转载,请注明原文地址。
